设置“因特网站点”文档的 Domino® 安全性
要设置“因特网站点”文档的安全性,可以启用 SSL 服务器和客户机认证、名称和密码认证或因特网客户机和 Intranet 客户机的匿名访问。
关于此任务
要为“因特网站点”启用 SSL,请在服务器文档中配置 SSL 端口,并通过从因特网证书认证中心获取服务器证书和密钥环在服务器设置 SSL。
要设置 SSL 认证,必须为每个因特网站点文档创建服务器密钥环文件。但是,如果多个“因特网站点“文档用于同一个组织,但却为不同的协议创建,则只能使用一个服务器密钥环文件。请确保在每个站点文档安全性选项卡上的相应字段中输入服务器密钥环文件名。
如果要将 CRL(证书撤销列表)用于因特网证书认证,服务器必须使用基于 Domino® 服务器的证书认证中心来发放因特网证书。
在完成下列操作之前,应首先熟悉 SSL 认证、名称和密码认证以及匿名访问。
过程
- 从 Domino® Administrator 中,单击。
- 选择要修改的因特网站点,然后单击编辑文档。
-
单击安全性,然后填写以下字段:
表 1. 因特网站点字段的安全性和描述 字段
描述
TCP 认证
匿名
(适用于 IMAP 和 POP3 之外的所有因特网站点)
选择以下某个选项:
- 是 - 允许匿名访问此站点
- 否 - 禁止匿名访问
名称和密码
选择以下某个选项:
- 是 - 要求用户通过用户名和因特网密码认证才能访问站点
- 否 - 不要求名称和密码认证
将 TCP 重定向到 SSL
(仅适用于 Web 站点)请选择下列选项之一:
- 是 - 要求客户机和服务器使用 SSL 协议访问 Web 站点
- 否 - 允许客户机和服务器使用 SSL 或 TCP/IP 访问 Web 站点
SSL 认证
匿名
(适用于 IMAP 和 POP3 之外的所有因特网站点)
选择以下某个选项:
- 是 - 允许用户通过 SSL 端口进行访问,而不进行名称和密码验证
- 否 - 拒绝用户的匿名访问。
名称和密码
选择以下某个选项:
- 是 - 要求用户通过用户名和因特网密码认证使用 SSL 访问此站点
- 否 - 不要求名称和密码
客户证书
(适用于 Web 站点、IMAP、POP3 和 LDAP)
选择以下某个选项:
- 是 - 要求使用客户机证书访问此站点
- 否 - 不要求客户机证书
SSL 选项
密钥文件名
输入服务器密钥环文件名。
协议版本
选择以下某个选项:
- 仅 V2.0 - 只允许 SSL 2.0 连接。
- V3.0 握手 - 尝试 SSL 3.0 连接。如果失败,并且请求者检测到 SSL 2.0,将尝试 SSL 2.0 连接。
- 仅 V3.0 - 只允许 SSL 3.0 连接。
- 附带 V2.0 握手的 V3.0 - 尝试 SSL 握手(将显示相关的错误消息)。如果可以,将建立 SSL 3.0 连接。
- 可协商的(缺省) - 尝试 SSL 3.0 连接。如果失败,将尝试使用 SSL 2.0。除非具有由于协议版本不兼容而导致的连接问题,否则使用此设置。
接受 SSL 站点证书
选择以下某个选项:
- 是 - 接受证书并使用 SSL,即使服务器与协议服务器没有公用的证书
- 否(缺省)- 禁止使用 SSL 站点证书进行访问
接受到期的 SSL 证书
选择以下某个选项:
- 是 - 允许客户机访问,即使客户机证书已到期
- 否 - 禁止使用到期 SSL 证书的客户机访问
检查 CRL
选择以下某个选项:
- 是 - 为您所尝试验证的用户证书检查验证者的 CRL(证书撤销列表)。如果找到有效的 CRL,并且用户证书位于该列表中,则拒绝该用户证书。
- 否 - 不使用证书撤销列表
信任到期 CRL
选择以下某个选项:
- 是 - 在尝试验证用户证书时,使用到期但仍有效的证书撤销列表
- 否 - 拒绝到期的证书撤销列表
允许 CRL 搜索失败
选择以下某个选项:
- 是 - 当尝试查找有效证书撤销列表失败时,如果检查 CRL 设置为否,则可继续。
- 否 - 如果未找到用户证书的有效证书撤销列表,则拒绝该证书。如果信任到期 CRL设置为是,那么到期 CRL 有效。如果信任到期 CRL 设置为否,那么对于所有未找到匹配的有效 CRL 的用户证书,其认证将失败。
SSL 安全性
SSL 加密法
单击修改可以更改此站点文档的 SSL 加密法设置。这些设置只适用于 SSL v3。不能更改 SSL v2 加密法。
启用 SSL V2
选择是可以对此站点文档启用 SSL v2。
- 保存该文档。